You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
Copy file name to clipboardExpand all lines: 3-frames-and-windows/06-clickjacking/article.md
+5-5Lines changed: 5 additions & 5 deletions
Display the source diff
Display the rich diff
Original file line number
Diff line number
Diff line change
@@ -121,7 +121,7 @@ Ci sono altri modi per aggirare questa protezione.
121
121
122
122
## X-Frame-Options
123
123
124
-
L'header server-side `X-Frame-Options` consente di definire se mostrare una pagina all'interno di un iframe.
124
+
L'header server-side `X-Frame-Options` consente di definire se permettere o meno l'apertura di una pagina all'interno di un iframe.
125
125
126
126
Deve essere inviato come HTTP-header: il browser lo ignorerà se provate ad inserirlo tarmite il tag `<meta>`. Quindi, `<meta http-equiv="X-Frame-Options"...>` non avrà alcun effetto.
127
127
@@ -132,10 +132,10 @@ L'header può assumere 3 valori:
132
132
: Non mostrare mai la pagina dentro un iframe.
133
133
134
134
`SAMEORIGIN`
135
-
: Consenti di mostrare una pagina dentro gli iframe, se appartiene alla stessa origine.
135
+
: Consenti di mostrare la pagina dentro un iframe, se appartiene alla stessa origine.
136
136
137
137
`ALLOW-FROM domain`
138
-
: Consenti agli iframe di mostrare una pagina se il documento genitore appartiene al `domain` fornito.
138
+
: Consenti di mostrare la pagina dentro un iframe se il documento genitore appartiene al `domain` fornito.
139
139
140
140
Ad esempio, Twitter utilizza `X-Frame-Options: SAMEORIGIN`.
141
141
@@ -191,7 +191,7 @@ La dimostrazione:
191
191
192
192
## L'attributo samesite dei cookie
193
193
194
-
L'attributo `samesite` dei cookie aiuta anche a prevenire attacchi di tipo clickjacking.
194
+
Anche l'attributo `samesite` dei cookie aiuta a prevenire attacchi di tipo clickjacking.
195
195
196
196
Un cookie con questo attributo viene inoltrato al sito solamente se questo viene aperto direttamente, senza passare per un iframe, o qualche altra via. Potete trovare maggiori informazioni nell'articolo <info:cookie#samesite>.
197
197
@@ -215,7 +215,7 @@ Un hacker può condividere un link nella sua pagina malevola, attirare gli utent
215
215
216
216
Da un certo punto di vista, l'attacco non è così complesso: ciò che deve fare l'hacker è semplicemente intercettare un click. Però, se l'hacker è a conoscenza di ciò che apparirà dopo il click, allora potrà utilizzare dei messaggi astuti per convincere l'utente a cliccare anche sui successivi controlli.
217
217
218
-
L'attacco può essere piuttosto pericoloso, perché quando studiano la UI (interfaccia utente), solitamente non prendiamo in considerazione il fatto che un hacker potrebbe effettuare un click al posto di un utente. Quindi possiamo trovare vulnerabilità nei posti più inaspettati.
218
+
L'attacco può essere piuttosto pericoloso, perché quando implementiamo la UI (interfaccia utente), solitamente non prendiamo in considerazione il fatto che un hacker potrebbe effettuare un click al posto di un utente. Quindi possiamo trovare vulnerabilità nei posti più inaspettati.
219
219
220
220
- E' sempre consigliato utilizzare `X-Frame-Options: SAMEORIGIN` nelle pagine (o anche nell'intero sito) che non abbiamo intenzione vengano mostrare all'interno degli iframe.
221
221
- Possiamo utilizzare un `<div>` "contenitore" se vogliamo consentire alle nostre pagine di essere mostrare negli iframe, ma rimanere comunque protetti.
0 commit comments